Programišius sako, kad už atlygį būtų įspėjęs Apple apie iCloud saugumo spragą

Apple galėjo išvengti keblios situacijos į kurią pateko šią savaitę jei informavimo apie jos sistemose esančias klaidas principai būtų kitokie.

Eilė didžiųjų technologinių kompanijų turi specialias, atsidėkojimo už praneštas klaidas programas. Tokias programas turi Google, Facebook, Microsoft, Yahoo, Paypal, Yandex, GitHub ir t.t., o užvakar tokią programą pradėjo ir Twitter. Šių programų veikimo principas labai paprastas: technologinės kompanijos sumoka pranešusiems apie klaidas jų sistemose.

Nežiūrint tokių programų veikimo paprastumo ir naudos, Apple ignoruoja pasiūlymus tokią programą pradėti ir jai. „Baltakepuriai“[1] programišiai mielai pasidalintų jų aptiktomis sistemų klaidomis su Apple… už tam tikrą atlygį ir tokia problema kaip dviejų pakopų autentikacijos nebuvimu iPhone gamintojai būtų seniai „durta į akį“ ir šio skandalo galėjo ir nebūti.

Aleksej Trošičev: Yandex infrastruktūros saugumo inžinierius,hackapp.com paslaugos kūrėjas, sukūręs iBrute skirptą išnaudojantį iCloud saugumo spragą. Šio skripto  pagalba buvo nulaužti Holivudo garsenybių iCloud paskayrų slaptažoiai.
Aleksej Trošičev

Yandex infrastruktūros saugumo inžinierius, hackapp.com paslaugos kūrėjas Aleksej Trošičev, savaitgalį paskelbęs detalią informaciją apie iCloud neatsparumo prieš brute-force saugumo spragą sakė, jog vietoje to, kad spragos išnaudojimo kodą, kuris matyt dalinai ir padėjo programišiams užvaldyti Holivudo žvaigždelių apvalumų nuotraukas, paskelbti Github’e - jis mielai šia informacija būtų pasidalinęs su Apple jei pastaroji turėtų atsidėkojimo už tokią informaciją programą. Kitaip tariant, tokios atsidėkojimo programos turėjimas Apple būtų sutaupęs daug nervų.

Apple tą spragą netrukus užtaisė, tačiau ši iCloud saugumo spraga leidusi neribotą iCloud paskyrų slaptažodžių bandymų kiekį, atvira buvo pakankamai ilgai, kad programišiai sugebėtų ja pasinaudoti. Įtariama, kad programišiai naudojo kelis įrankius tai informacijai užvaldyti: Trošičev'o sukurtą iBrute įrankį ir kažką iš hacking’o įrankių tokių kaip rusų Elcomsoft sukurtą „Phone Password Breaker“ ir „Jack the Ripper“. Apple būdama „kiaurai permatoma kompanija“, šiuos įtarimus nei nei patvirtino, nei paneigė teikdama, kad įsilaužimo į iCloud nebūta ir vartotojai patys kalti, nes naudojo per silpnus slaptažodžius.

Prieš paskelbdama tokią, atsidėkojimo už informavimą apie saugumo spragas programą, Apple turėtų gerokai pati susiimti savo sistemų saugumo klausimuose. iPhone gamintoja investavo nepaprastai daug pinigų ir resursų į tai, kad iOS taptų labai saugia sistema, tačiau eilės kitų Apple sistemų (tokių kaip iCloud) saugumas gerokai atsilieka nuo šiuolaikinių standartų. Paskelbus „atsidėkojimo“ programą prieš tai neišsprendus esminių sistemų saugumo problemų, programos metu gautą informaciją leis panaudoti ti simptomus, o ne priežasčių naikinimui.

Tokioms kompanijoms kaip Apple - kuriančioms ne tik programinę įrangą bet ir „geležį“, atsidėkojimo programų kūrimas yra daug sudėtingesnis, kompleksinis reikalas nei toms, kurios kuria tik sistemas ar tiekia tik internetines paslaugas.

Apple neturėtų tikėtis, kad jos biuruose sėdintys saugumo ekspertai aptiks visas saugumo spragas, o visa likusi pasaulio dalis už ačiū ar tiesiog už trupinėlį šlovės, kurią gaus būdami paminėti Apple sistemų klaidų ištaisymo sąraše (pvz. Apple web serverių ištaisytų klaidų sąraše) - suteiks Apple nemokamai visą informaciją apie aptiktas jos sistemose klaidas.

Paskutinės savaitės įvykiai rodo, kad Apple į situaciją turi reaguoti žaibiškai - nes dabar jos sistemos nėra atsparios programišių išpuoliams. „Grandinės stiprumas priklauso nuo silpniausios grandies joje“ ir todėl nesvarbu kiek saugi iOS, jei ji jungiasi ar yra priklausoma nuo mažiau saugios sistemos (grandinės) dalies - visa sistema tampa daugiau ar mažiau, bet pažeidžiama.


  1. „Baltakepuriai“ arba „white hat“ programišiai viena iš programišių klasifikavimo kategorijų:

    • Baltakepuriai“ - (white hat): programišiai, kurie laužo sistemas neturėdami piktų kėslų. Dažniausiai savo pačių saugumo patikrinimo tikslais.
    • Juodkepuriai“ - (black hat): programišiai laužantys sistemas su tikslu pasipelnyti ar padaryti žalos.
    • Pilkakepuriai“ - (grey hat): baltakepurių ir juodkepurių programišių mišinys. Pastarieji gali „nulaužti“ sistemą ir informuoti administratorius apie bėdas. Jie taip pat pasisiūlo už tam tikrą mokestį panaikinti problemą.
    • Elitiniai programišiai: tai socialinis programišių sluoksnis, jie apibūdinami kaip labiausiai patyrę.
    • Skriptininkai“ - (script kiddiedar vadinami skid ar skiddie): tai šiam užsiėmimui žinių neturintys bei įsilaužimo koncepto nesuvokiantys veikėjai. Ši programišių kategorija naudojasi kitų programišių sukurtais automatinio įsilaužimo įrankiais.
    • Neofitai“: (neophyte arba n00b): tai naujokai neturintys visiškai ar beveik jokių „hakingo“ žinių bei patirties.
    • Mėlynakepuriai“ - (blue hat): tai specialistai nedirbantys kibernetinio saugumo konsultavimo kompanijose. Šie programišiai dažniausiai samdomi dar viešai nepaskelbtos programinės įrangos versijų testavimui. Jie ieško saugumo spragų, kad programinę įrangą sukūrusi kompanija jas galėtų iš anksto užlopyti. Microsoft terminą BlueHat naudoja savo saugumo konferencijų pavadinimui.
    • Haktivistai“ - programišiai naudojantys technologijas savo socialinių, ideologinių, politinių ar religinių idėjų skelbimui. Dažniausiai įsilaužę į internetines svetaines „haktivistai“ pakeičia jų išvaizdą arba prieš paslaugas ar jų tiekėjus nukreipia DoS (Denial-of-Service) atakas.
    • Programišių grupuotės taip pat turi savo klasifikavimą: „Nation state“ - žvalgybos organizacijos, „Cyberwarfare“ - politiškai motyvuotos organizacijos hakingo metodus išnaudojančios sabotažui ar šnipinėjimui. Yra ir organizuotos programišių nusikalstamos grupuotės vykdančios šio pobūdžio nusikaltimus pasipelnymo tikslais. ↩

Apie Ramūnas Blavaščiūnas

Fotografijos, geros technikos ir kavos mylėtojas

Parašykite komentarą

Į viršų